Cum să activați un punct de acces pentru oaspeți în rețeaua wireless
Împărtășirea Wi-Fi-ului cu oaspeții este doar un lucru politicos, dar asta nu înseamnă că doriți să le oferiți un acces larg deschis la întreaga rețea LAN. Citiți mai departe pe măsură ce vă vom arăta cum să vă configurați ruterul pentru SSID-uri duale și să creați un punct de acces separat (și securizat) pentru oaspeții dvs..
De ce vreau să fac asta?
Există câteva motive foarte practice pentru a vă dori să configurați rețeaua dvs. de domiciliu pentru a avea puncte duale de acces (AP).
Motivul pentru care aplicația cea mai practică pentru cei mai mulți oameni este pur și simplu izolarea rețelei de domiciliu, astfel încât oaspeții să nu poată accesa lucrurile pe care doriți să le păstrați în mod particular. Configurația implicită pentru aproape fiecare punct de acces / router Wi-Fi de acasă este să utilizeze un singur punct de acces fără fir și oricine este autorizat să acceseze acel AP care are acces la rețea ca și cum ar fi fost conectat prin intermediul rețelei Ethernet.
Cu alte cuvinte, dacă îți dai prietenului tău, vecinului, oaspeții casei sau oricine parola pentru AP-ul dvs. Wi-Fi, le-ați oferit, de asemenea, acces la imprimanta dvs. de rețea, la toate acțiunile deschise din rețea, la dispozitivele negarantate din rețea și așa mai departe. S-ar putea să fi vrut să-i lași să-și verifice e-mailurile sau să joace un joc online, dar le-ați dat libertatea de a călători oriunde ar dori în rețeaua dvs. internă.
Acum, în timp ce majoritatea dintre noi, cu siguranță, nu avem hackeri rău intenționați pentru prieteni, asta nu înseamnă că nu este prudent să ne înființăm rețelele astfel încât oaspeții să rămână acolo unde aparțin (pe accesul gratuit la internet al gardului) și nu pot merge unde nu au (pe serverul de acasă / partea de acțiuni personale a gardului).
Un alt motiv practic pentru a rula un AP cu două SSID-uri este capacitatea de a restricționa nu numai locul în care AP-ul oaspeților poate merge, ci și când. Dacă sunteți părinte, de exemplu, doriți să restrângeți cât de târziu copilul dvs. poate să stea în picioare în jurul valorii de pe computerul pe care l-ați putea pune computerul, tableta etc. în AP secundar și a stabilit restricții privind accesul la internet pentru întreaga sub -SSID după, să zicem, 9PM.
Ce am nevoie?
Tutorialul nostru de azi se concentreaza pe utilizarea unui router compatibil DD-WRT pentru a obtine SSID-uri duale. Ca atare veți avea nevoie de următoarele lucruri:
- 1 router compatibil DD-WRT cu o revizuire hardware corespunzătoare (vă vom arăta cum să verificați)
- 1 copie instalată a DD-WRT pe routerul menționat
Aceasta nu este singura modalitate de a configura dual SSID-uri pentru rețeaua dvs. de domiciliu. Vom rula SSID-urile noastre de pe routerul wireless Wireless Linksys WRT54G, omniprezent. Dacă nu doriți să treceți prin hassle-ul firmware-ului personalizat pe ruterul vechi și efectuând pașii de configurare suplimentar, ați putea:
- Achiziționați un nou router care acceptă SSID-uri duale chiar din cutie, cum ar fi ASUS RT-N66U.
- Achiziționați un al doilea router wireless și configurați-l ca un punct de acces autonom.
Dacă nu dețineți deja un router care acceptă SSID-uri duale (caz în care puteți sări peste acest tutorial și doar citiți manualul pentru dispozitivul dvs.), ambele opțiuni sunt mai puțin decât ideale deoarece trebuie să cheltuiți bani în plus și, în cazul a doua opțiune, faceți o grămadă de configurare suplimentară, inclusiv configurarea AP secundar pentru a nu interfera și / sau suprapune cu AP primar.
În lumina tuturor, am fost mai mult decât bucuroși să folosim hardware-ul pe care l-am avut deja (linia wireless Linksys WRT54G din seria wireless) și să trecem peste cheltuielile de bani și de modificări suplimentare ale rețelei Wi-Fi.
Cum știu că ruterul meu este compatibil?
Există două elemente critice de compatibilitate pe care trebuie să le verificați pentru a avea succes în acest tutorial. Primul și cel mai elementar este să verificați dacă routerul dvs. are suport DD-WRT. Puteți vizita aici bara de date Router-ul WDT pentru a verifica.
Odată ce ați stabilit că ruterul dvs. este compatibil cu DD-WRT, trebuie să verificați numărul de revizie al cipului routerului. Dacă aveți un router Linksys foarte vechi, de exemplu, acesta ar putea fi un router serviceable perfecionabil în orice mod, dar cipul poate să nu accepte SSID-uri duale (ceea ce îl face fundamental incompatibil cu tutorialul).
Există două grade de compatibilitate cu privire la numărul de revizie al routerului. Unele routere pot face mai multe SSID-uri, dar nu pot împărți SSID-urile în puncte de acces distincte (de exemplu, o adresă MAC unică pentru fiecare SSID). În unele situații, acest lucru poate provoca probleme cu unele dispozitive Wi-Fi, deoarece acestea se confundă cu ce SSID (de vreme ce ambele au aceeași adresă MAC) pe care ar trebui să le utilizeze. Din păcate, nu există nicio modalitate de a anticipa dispozitivele care se vor comporta necorespunzător în rețeaua dvs., astfel încât nu putem să vă recomandăm să evitați tehnica descrisă în acest tutorial dacă descoperiți că aveți un dispozitiv care nu acceptă SSID-uri distincte.
Puteți verifica numărul de revizie efectuând o căutare Google pentru modelul specific al routerului, împreună cu numărul de versiune tipărit pe eticheta de informații (care se găsește de obicei în partea inferioară a routerului), dar am descoperit că această tehnică este nesigură (etichete pot fi aplicate greșit, informația postată online privind modelul și data fabricării poate fi inexactă etc.)
Cea mai fiabilă modalitate de a verifica numărul de revizie al cip-ului în interiorul routerului este de a suna de fapt router-ul pentru a afla. Pentru a face acest lucru, trebuie să efectuați pașii următori. Deschideți un client telnet (fie un program multifuncțional cum ar fi PuTTY sau comanda de bază Windows Telnet) și telnet la adresa IP a routerului dvs. (de exemplu, 192.168.1.1). Conectați-vă la router folosind login-ul și parola administratorului dvs. (rețineți că pentru anumite routere, chiar dacă tastați "admin" și "mypassword" pentru a vă conecta la portalul web de administrare de pe router, este posibil să fie necesar să tastați "root" "Și" mypassword "pentru a vă conecta prin telnet).
După ce v-ați conectat la router, tastați următoarea comandă la prompt:
nvram arată | grep corerev
Acest lucru va returna numărul de revizie de bază a cipului (ilor) în routerul dvs. în următorul format:
wl0_corerev = 9
wl_corerev =
Ce înseamnă ieșirea de mai sus este că ruterul nostru are un radio (wl0, nu există wl1) și că revizuirea de bază a cipului radio este 9. Cum interpretați ieșirea? Numărul reviziei, în legătură cu ghidul nostru, înseamnă următoarele:
- 0-4 Routerul nu acceptă mai multe SSID-uri (cu identificatori unici sau în alt mod)
- 5-8 Routerul acceptă mai multe SSID-uri (dar nu cu identificatori unici)
- Routerul acceptă mai multe SSID-uri (cu identificatori unici)
După cum puteți vedea din extrasul de comandă de mai sus, am avut noroc. Cipul ruterului nostru este cea mai mică revizie care acceptă mai multe SSID-uri cu identificatori unici.
După ce ați determinat că routerul dvs. poate suporta mai multe SSID-uri, va trebui să instalați DD-WRT. Dacă routerul dvs. a fost livrat împreună cu DD-WRT sau dacă l-ați instalat deja, este fantastic. Dacă nu l-ați instalat deja, vă recomandăm să descărcați versiunea corespunzătoare de pe site-ul web DD-WRT și să urmați împreună cu tutorialul nostru: Rotiți routerul dvs. de acasă într-un router Super-Powered cu DD-WRT.
În plus față de tutorialul nostru, nu putem sublinia valoarea wiki-ului vast și bine întreținut DD-WRT. Citiți ruterul special și cele mai bune practici pentru a bloca un nou firmware acolo.
Configurarea DD-WRT pentru mai multe SSID-uri
Aveți un router compatibil, ați lansat DD-WRT, acum este momentul să începeți să configurați cel de-al doilea SSID. La fel cum ar trebui să blitzați mereu noul firmware pe o conexiune prin cablu, vă recomandăm să lucrați la configurarea fără fir printr-o conexiune prin cablu, astfel încât modificările să nu vă forțeze calculatorul fără fir din rețea.
Deschideți browserul dvs. web pe un computer conectat la router prin Ethernet. Navigați la IP-ul routerului implicit (de obicei 198.168.1.1). În interfața DD-WRT, navigați la Wireless -> Basic Settings (așa cum se vede în imaginea de mai sus). Puteți vedea că AP-ul nostru existent Wi-Fi are SSID "HTG_Office".
În partea de jos a paginii, în secțiunea "Interfețe virtuale", faceți clic pe butonul Adăugați. Secțiunea "Interfețe virtuale" goale anterior se va extinde cu această intrare prepopulată:
Această interfață virtuală este purtătoare pe cipul dvs. radio existent (notează wl0.1 în titlul noii intrări). Chiar și stenograma din SSID a indicat acest lucru, "vap" la sfârșitul SSID-ului implicit înseamnă Virtual Access Point. Să distrugem restul intrărilor sub noua interfață virtuală.
Puteți redenumi SSID-ul la orice doriți. În conformitate cu convenția noastră de numire existentă (și pentru a face viața mai ușoară oaspeților noștri) vom schimba SSID-ul de la implicit la "HTG_Guest" - reamintim că principala noastră rețea Wi-Fi este "HTG_Office".
Lăsați Wireless Broadcast SSID activat activat. Nu numai că multe computere mai vechi și dispozitive Wi-Fi nu se joacă foarte bine cu SSID-uri secrete, dar o rețea de clienți ascunse nu este o rețea foarte invitantă / utilă.
AP Izolarea este o setare de securitate pe care o vom lăsa la discreția dvs. pentru a activa sau dezactiva. Dacă activați izolarea AP, fiecare client din rețeaua Wi-Fi a oaspeților dvs. va fi total izolat unul de celălalt. Din punct de vedere al securității, acest lucru este minunat, deoarece păstrează un utilizator rău intenționat de la a încerca în jurul clienților altor utilizatori. Acest lucru este însă mai degrabă o preocupare pentru rețelele corporative și hotspoturile publice. Practic vorbind, asta înseamnă, de asemenea, dacă nepoata și nepotul tău s-au terminat și doresc să joace un joc legat de Wi-Fi pe unitățile Nintendo DS, unitățile lor DS nu se vor putea vedea reciproc. În majoritatea aplicațiilor de birou și de birou, există puține motive pentru a izola AP-urile.
Opțiunea Neblocat / Împreună în Rețeaua de Configurație se referă la faptul dacă AP-ul Wi-Fi va fi conectat sau nu la rețeaua fizică. Ca și contraintuitiv, trebuie să lăsați-o setată la Bridged. Mai degrabă decât să lăsați firmware-ul router-ului să manipuleze (mai degrabă clumsily) procesul de deconectare, vom renunța manual la totul în sine cu un rezultat mai curat și mai stabil.
După ce ați modificat codul SSID și ați revizuit setările, faceți clic pe Salvați.
Înainte navigați pe Wireless -> Wireless Security:
În mod implicit, nu există nici o securitate în al doilea AP. Puteți să o lăsați temporar în scopuri de testare (ne-am lăsat deschise până la sfârșit) pentru a vă salva de la tastarea parolei pe dispozitivele dvs. de testare. Cu toate acestea, noi nu recomandăm să o lăsăm permanent deschisă. Indiferent dacă optați să lăsați-o deschisă sau nu în acest moment, trebuie să dați clic pe Salvați și apoi pe Aplicați setările pentru modificările pe care le-am făcut atât în secțiunea anterioară, cât și pe cea care a intrat în vigoare. Aveți răbdare, poate dura până la 2 minute pentru ca modificările să aibă efect.
Acum este un moment excelent pentru a confirma faptul că dispozitivele Wi-Fi din apropiere pot vedea atât AP primar, cât și secundar. Deschiderea interfeței Wi-Fi pe un smartphone este o modalitate foarte bună de a verifica rapid. Iată imaginea de pe pagina de configurări a telefonului nostru Android:
Nu ne putem conecta la AP secundar, tocmai pentru că avem nevoie de alte câteva modificări la router, dar este întotdeauna plăcut să le vedem pe amândouă în listă.
Următorul pas este să începeți procesul de separare a SSID-urilor în rețea atribuind o gamă unică de adrese IP dispozitivelor Wi-Fi oaspete.
Navigați la Setup -> Networking. Sub secțiunea "Punte de legătură", faceți clic pe butonul Adăugați.
Mai întâi, schimbați slotul inițial la "br1", lăsați restul valorilor la fel. Încă nu veți putea vedea intrarea IP / Subnet văzută mai sus. Faceți clic pe "Aplicați setările". Noul bridge va fi în secțiunea Bridgeing cu secțiunile IP și Subnet disponibile. Setați adresa IP la o valoare de pe IP-ul rețelei obișnuite (de ex., Rețeaua principală este 192.168.1.1, deci faceți această valoare 192.168.2.1). Setați masca de subrețea la 255.255.255.0. Faceți clic din nou pe "Aplicați setările" din partea de jos a paginii.
Atribuiți rețeaua de invitați la Bridge
Notă: mulțumită cititorului Joel pentru faptul că a arătat această parte și ne-a dat instrucțiunile de adăugare la tutorial.
Sub "Assign to Bridge" faceți clic pe "Add". Selectați noul pod creat de la primul drop-down și împerecheați-l cu interfața "wl0.1".
Acum faceți clic pe "Salvați" și pe "Aplicați setările".
După ce ați aplicat modificările, derulați încă o dată partea inferioară a paginii în secțiunea DHCPD. Faceți clic pe "Adăugați". Schimbați primul slot la "br1". Lăsați restul setărilor la fel (după cum se vede în imaginea de mai jos).
Faceți clic pe "Aplicați setările" o dată. După ce ați terminat toate sarcinile din pagina Setup -> Networking, ar fi bine să mergeți pentru conectivitate și asignare DHCP.
Notă: dacă AP-ul Wi-Fi pe care îl configurați pentru SSID-uri duale este compatibil cu un alt dispozitiv (de exemplu, aveți două routere Wi-Fi în casa sau biroul dvs. pentru a vă extinde acoperirea și cea pe care o setați SSID pentru oaspeți on este # 2 în lanț) va trebui să configurați DHCP în secțiunea Servicii. Dacă aceasta pare a fi setarea dvs., este timpul să navigați la secțiunea Servicii -> Servicii.
În secțiunea de servicii, trebuie să adăugăm un pic de cod la secțiunea DNSMasq, astfel încât routerul să aloce corect adreselor IP dinamice dispozitivelor care se conectează la rețeaua de clienți. Derulați în jos secțiunea DNSMasq. În caseta "Opțiuni suplimentare DNSMasq", lipiți următorul cod (minus # comentarii care explică funcționalitatea fiecărei linii):
# Activează DHCP pe br1
interfață = BR1
# Setați gateway-ul implicit pentru clienții br1
dhcp-option = br1,3,192.168.2.1
# Setați intervalul DHCP și durata implicită de leasing de 24 de ore pentru clienții br1
dhcp-range = br1,192.168.2.100,192.168.2.150,255.255.255.0,24h
Faceți clic pe "Aplicați setările" din partea de jos a paginii.
Indiferent dacă ați folosit tehnica una sau două, așteptați câteva minute pentru a vă conecta la noul SSID de vizitator. Când vă conectați la SSID-ul clienților, verificați adresa IP. Ar trebui să aveți o IP în intervalul specificat cu cele de mai sus. Din nou, este util să utilizați smartphone-ul pentru a verifica:
Totul arată bine. AP secundar atribuie IP-uri dinamice într-un interval adecvat, putem intra pe Internet - facem o notă aici, un succes imens.
Singura problemă, totuși, este că AP secundar are în continuare acces la resursele rețelei primare. Aceasta înseamnă că toate imprimantele în rețea, acțiunile de rețea și altele asemenea sunt încă vizibile (puteți să le testați acum, să încercați să găsiți o partajare de rețea din rețeaua dvs. principală pe AP secundar).
daca tu vrei oaspeții de pe AP secundar să aibă acces la aceste lucruri (și urmăresc împreună cu tutorialul, astfel încât să puteți face alte două activități SSID, cum ar fi restricționarea lățimii de bandă clienților sau de timp în care li se permite să utilizeze Internetul) tutorial.
Ne imaginăm că majoritatea dintre dvs. ar dori să vă păstrați invitații să nu vă înșele în jurul rețelei dvs. și să-i îndreptați ușor către lipirea pe Facebook și prin e-mail. În acest caz, trebuie să terminăm procesul prin deconectarea AP secundar din rețeaua fizică.
Navigați la Administrare -> Comenzi. Veți vedea o zonă denumită "Command Shell". Inserați următoarele comenzi, fără linii de # comentarii, în zona editabilă:
#Demovează accesul clienților la rețeaua fizică
iptables -I FORWARD -i br1 -o br0 -m stare -state NEW -j DROP
iptables -I FORWARD -i br0 -o br1 -m stare -state NEW -j DROP
#Demovează accesul clienților la GUI / porturile de configurare a routerului
iptables -I INPUT -i br1 -p tcp -dport telnet -j REJECT -reject-cu tcp-reset
iptables -I INPUT -i br1 -p tcp -dport ssh -j REJECT -reject-cu tcp-reset
iptables -I INPUT -i br1 -p tcp -dotare www -j REJECT --reject-cu tcp-reset
iptables -I INPUT -i br1 -p tcp -dport https -j REJECT -reject-cu tcp-reset
Faceți clic pe "Salvați paravanul de protecție" și reporniți routerul.
Aceste reguli suplimentare de firewall simplifică să vorbească și să respingă orice contact între un client din rețeaua gazdă și porturile serverului telnet, SSH sau serverului web de pe cele două poduri (rețeaua privată și rețeaua publică / clienți). router-ul (astfel restricționându-le de încercarea de a accesa fișierele de configurare ale router-ului la toate).
Un cuvânt despre utilizarea shell-ului de comandă și a script-urilor de pornire, oprire și firewall. În primul rând, comenzile IPTABLES sunt procesate în ordine. Schimbarea ordinii liniilor persoanelor poate schimba semnificativ rezultatul. În al doilea rând, există zeci de zeci de routere care sunt suportate de DD-WRT și, în funcție de router-ul dvs. și de configurație, este posibil să fie necesar să modificați comenzile IPTABLES de mai sus. Scriptul a lucrat pentru routerul nostru și utilizează cele mai largi și simple comenzi posibile pentru a realiza sarcina, astfel încât ar trebui să funcționeze pentru majoritatea routerelor. Dacă nu, vă recomandăm să căutați modelul routerului dvs. specific în forumurile de discuții ale DD-WRT și să vedeți dacă alți utilizatori au experimentat aceleași probleme pe care le aveți.
În acest moment, ați terminat cu configurația și sunteți gata să vă bucurați de SSID-uri duale și de toate avantajele pe care le aduceți acestora. Puteți să dați cu ușurință o parolă pentru oaspeți (și să o schimbați după bunul plac), să configurați reguli QoS pentru rețeaua de clienți și să modificați și restrângeți altfel rețeaua de clienți în moduri care nu vor afecta în niciun fel rețeaua principală.